WordPress-Sicherheit: Die wichtigsten Security-Plugins

Die Wichtigkeit eines sicheren Passworts wird oft unterschätzt. User sollten sich stets an die WordPress-Tipps zur Passwortsicherheit halten; zusätzlichen Schutz können ebenfalls wieder Plugins bieten. So ist das Plugin Limit Login Attempts ein nützliches Werkzeug gegen Hackerangriffe, die als sogenannte Brute-Force-Attacken klassifiziert werden. Dabei versuchen Hacker, die Login-Daten der User zu entschlüsseln, indem sie häufig gewählte Passwörter mit den jeweiligen Nutzernamen kombinieren. Gelingt ihnen der unerlaubte Login, kann das Datenverluste oder unerlaubte Änderungen des Quellcodes zur Folge haben. Beim Hackversuch probieren die Skripte teilweise tausende von Passwörtern pro Minute durch – es sei denn, der Nutzer hat das Plugin Limit Login Attempts installiert, denn dies begrenzt die Zahl der erlaubten Fehlversuche bei der Anmeldung: So lässt sich beispielsweise einstellen, dass nach vier Fehlversuchen der Account für einen längeren Zeitraum gesperrt bleibt. Da das Plugin die IP des Nutzers erfasst, hat dies jedoch keinen Einfluss auf die Login-Versuche des Administrators. Mittlerweile bieten die meisten All-In-One-Lösungen eine sogenannte Brut-Force- Firewall als Premium-Feature für eine möglichst hohe WordPress-Sicherheit.

Über das WP Secure Login Plugin kann man den Account zusätzlich zu den vorhanden Kennwörtern noch mit einer weiteren Kennwort-Instanz sichern. Das zusätzliche Kennwort ist nur über die App von Google einsehbar und wird regelmäßig erneuert. Ähnlich funktioniert das Plugin Two-Factor Authentication, mit dem man auf allen Nutzerebenen eine zweite Username- und Passwort-Instanz ausspielen kann.

Sogenannte All-In-One-Lösungen kombinieren unterschiedliche Sicherheitsfeatures in einem WordPress Security Plugin. Ziel ist es, Sicherheitslücken zu vermeiden und vorhandene schnellstmöglich zu schließen – also über ein einzelnes Plugin WordPress so sicher wie möglich zu machen. Der Vorteil von solchen All-In-One-Lösungen wie iThemes Security ist, dass sie auch für wenig erfahrene Nutzer geeignet sind. Die essentiellen Features setzen nur einige Grundkenntnisse voraus. So kann beispielweise auch das Acunetix WP Security Plugin von weniger versierten Usern installiert werden. Es dient zur Überwachung der Website hinsichtlich potentieller Sicherheitsrisiken. Doch nicht nur die bloße Identifikation von Problemen ist möglich, der Nutzer erhält zusätzlich auch Handlungsempfehlungen und Tools zur Lösung vorhandener Probleme.

Solche Plugins können durch ihre zusätzlichen Features auch für erfahrene Nutzer zum geeigneten Werkzeug werden. Das Plugin Acunetix WP Security bietet beispielsweise einen Passwort-Generator sowie ein spezielles Datenbank-Tool. Das Plugin Bulletproof Security ermöglicht die Abwehr von spezifischen Angriffen wie zum Beispiel XSS, RFI, CRLF, CSRF, Base64, Code Injection und SQL Injection. Wichtige Quellcode-Dateien stehen so unter besonderem Schutz.

Beim Hosting-Partner IONOS werden einige Plugins bereits vorinstalliert. Weitere WordPress Security Plugins können – wie andere Erweiterungen auch – ohne weiteres von den Usern selbst installiert werden. Dabei sollte man natürlich immer auf vertrauenswürdige Quellen achten. Auch die Aktualität des Plugins ist wichtig – selbige überprüft beispielsweise der WP Update Notifier. Grobe Sicherheitslücken werden im besten Fall schnell erkannt und von den Entwicklern geschlossen. Von dieser Weiterentwicklung profitiert man natürlich nur, sofern regelmäßige Updates durchführt werden. Der WP Update Notifier ist also kein Security-Plugin im klassischen Sinne, sorgt aber auf lange Sicht für die aktuellste und damit auch sicherste Version von Plugins, Themes und anderen Installationen. IONOS-Kunden profitieren hier vom sogenannten Safe-Mode. Wird dieser bei Installation aktiviert, werden alle Anwendungen automatisch aktuell gehalten.

Will man den Security-Status seiner Website kontrollieren, empfiehlt sich das Plugin Security Ninja, mit dem man die eigene Seite durch rund 30 Tests überprüfen lassen kann. Unter anderem simuliert das Programm einen Brut-Force-Angriff. Schwachstellen können so direkt aufgedeckt und mithilfe des Plugins und anderen Erweiterungen schnell behoben werden.